GWSのグループでLookerのユーザーを一元管理できるか検証してみた
投稿者:鈴木
本稿はLooker Advent Calender 2024、NI+C TeamGCP Advent Calendar 2024 の21日目の記事です。
目次
1.はじめに
2.前提
3.設定の流れ
4.検証結果
5.さいごに
1.はじめに
今年もアドベントカレンダーの時期がやってきました!生成AI系などもっとわくわくした記事を書きたいなと思っていましたが、、今回はLookerのSAML認証についてご紹介いたします。
LookerはGoogleの製品なのでLooker利用者はGWSを利用していることも多いかと思います。ユーザー管理をLookerとGWSそれぞれで管理するのではなく、一元管理出来たら運用の手間も省けますよね!
SAML認証でGWSを設定しLookerのユーザー管理をGWSで管理してみる検証を実施したのでその内容を共有したいと思います。
2.前提
Lookerのログイン認証は下記の通りいくつか用意されています。
- LDAP
- SAML
- OpenID Connect
Google関連だとGoogle OAuthを使用してGoogleアカウントでLookerにログインすることが可能です。(以前Google OAuthを適用したブログがあるのでぜひご覧ください)
今回はGWSのグループ等の管理含めGWS側で対応できるようにしたいのでGoogle OAuthではなく、SAML認証を利用します。
SAML認証の詳細については別途公式ドキュメント等ご確認ください。
※ Looker(Google Cloud コア)インスタンスを使用していない場合、 [管理] メニューの [認証] セクションに [SAML] ページが表示されていないため、利用する際はサポートにリクエストが必要です
設定するためにはそれぞれ下記権限が必要なのでご準備ください。(強い権限なので注意してご利用ください)
- Looker:Admin
- GWS:Super admin
本稿では概要と検証結果について記載します。LookerとGWSでの詳細な設定は別の記事にてご紹介します。
3.設定の流れ
- GWSをIDプロバイダ(IdP)として設定する
- Lookerをサービスプロバイダ(SP)として設定する
- GWSでLookerアプリを有効にする
- ユーザー認証をテスト
- 適用
GWSのグループをミラーリングするためにはLooker側の「Groups & Roles」オプションで「Mirror SAML Groups」をONにする必要があります。
また、ミラーリングをONにしている場合、ミラーリングされたユーザーの設定をLooker側でどの程度変更させていいか「Advanced Role Management」で設定できます。
4.検証結果
検証結果は以下となります。理想はGWS側ですべてのユーザー管理を実施することでしたが、「削除または無効」だけはLooker側で対応する必要があるとわかりました。
- ユーザーの新規追加:〇(対応可)
- GWS 側でグループに新規ユーザーを追加すると、そのユーザーが SAML 認証を使用して Looker にログインしたときにLooker側 に登録されログインできます
- ユーザーの権限変更:〇(対応可)
- LookerでのSAML認証設定時、事前にグループごとの権限設定が必要です
- GWS側でユーザーが所属するグループの変更をすると、そのユーザーが次に Looker にログインしたときに適用されます
- ユーザーの削除:△(Lookerで削除or無効化設定が必要)
- GWS側でユーザーを削除しても、LookerはGWS 側でユーザーが削除されたかどうかを自動的に追跡しないため、ログインしているユーザーは、セッションの残りの期間 (最大 30 日間) はログインしたままになります
- ログアウトするか、セッションを終了すると再度ログインできなくなります
- Looker システムによって削除または無効化されることはありません。ユーザーのログアウトを強制し、更新が適用されるようにするには、Looker管理画面からユーザーを削除もしくは無効にする必要があります
その他、ミラーリングできるグループは最大75個になるためそれ以上グループがある場合は別途Looker用にグループを作成する必要があります。
5.さいごに
いかがでしたでしょうか。SAML認証を利用すればユーザー管理の運用の手間を少しでも手間が省けそうなことがわかりました。SAML認証には本番に適用せずに設定をテストする機能もあります。設定が問題ないか事前に確認できるため安心して確認ができますね。
Lookerのユーザー管理や認証方法を検討中の方に少しでも参考になれば幸いです。